Control de revisiones

Índice

1. Introducción
2. Alcance
3. Objetivos de Seguridad de la Información
4. Enfoque de Gestión de la Seguridad de la Información
5. Responsabilidades
6. Concienciación y Formación
7. Cumplimiento
8. Revisión

1. Introducción

Invader reconoce la importancia de la seguridad de la información para el éxito continuo de sus operaciones y el cumplimiento de sus objetivos. Esta política establece su compromiso con la seguridad de la información y proporciona una base para establecer y revisar los controles de seguridad de acuerdo con la norma ISO/IEC 27001.

2. Alcance

Esta política se aplica a todos los activos de información de la organización, incluyendo la información almacenada, procesada o transmitida en cualquier formato para los servicios de consultoria y análisis forense.

3. Objetivos de Seguridad de la Información

La organización se compromete a lograr los siguientes objetivos de seguridad de la información:

• Proteger la información contra el acceso no autorizado o divulgación no autorizada.
• Mantener la precisión y completitud de la información y los procesos de negocio asociados.
• Garantizar que la información esté disponible y sea utilizada por aquellos que la necesiten cuando la necesiten.
• Verificar y confirmar la autenticidad de la información y los usuarios que acceden a ella.
• Asignar responsabilidades claras para la gestión de la seguridad de la información y promover la conciencia y la responsabilidad en todos los empleados.
• Cumplir con las leyes, regulaciones y requisitos contractuales aplicables a la seguridad de la información.

4. Enfoque de Gestión de la Seguridad de la Información

Invader ha adoptado un enfoque sistemático para gestionar la seguridad de la información, basado en los principios de la norma ISO/IEC 27001. Esto incluye:

• Identificar y evaluar los riesgos de seguridad de la información en toda la organización.
• Seleccionar y aplicar controles de seguridad apropiados para mitigar los riesgos identificados.
• Implementar los controles seleccionados y asegurar su eficacia continua.
• Monitorear regularmente la eficacia de los controles implementados y revisar el sistema de gestión de seguridad de la información para garantizar su adecuación continua.
• Buscar la mejora continua del sistema de gestión de seguridad de la información a través del aprendizaje de experiencias pasadas y la adopción de buenas prácticas.
• Los sistemas se diseñan y configuran siempre pensando en la Seguridad por Defecto. El sistema proporciona la mínima funcionalidad requerida porque las funciones de operación, administración y registro de actividad son las mínimas necesarias.
• Asegurar la continuidad de negocio de 0INVADER y minimizar los riesgos mediante la prevención de incidentes de seguridad y la reducción de su impacto potencial.
• Lograr, dentro del marco contractual establecido, la máxima satisfacción de sus clientes y trabajadores con respecto a los servicios prestados.
• Llevar a cabo, en las reuniones de Revisión del Sistema por la Dirección, el establecimiento y revisión de los objetivos de gestión del servicio y de los criterios de evaluación de las oportunidades de mejora.
• 0INVADER asume un compromiso de confidencialidad de toda la documentación relativa a todos los aspectos relacionados con los trabajos desarrollados.
• Cumplir con la legislación y reglamentación aplicables a su actividad, así como con los requisitos y recomendaciones que se consideren necesarias, dentro del entorno de dicho Sistema de Información.
• Asegurar los activos de información de la organización contra las amenazas accidentales o deliberadas, tanto internas como externas.

La Dirección de 0INVADER asume la responsabilidad de que el Sistema de Información esté suficientemente documentado, comunicado y entendido por su personal. Para ello se compromete a aportar los recursos necesarios en información, formación y sensibilización.

Tanto la detección de amenazas y vulnerabilidades, como la estimación del riesgo intrínseco, se realizará mediante reuniones periódicas en las que se evaluará el impacto y la probabilidad de que ocurran los riesgos.

La dirección, mediante la elaboración e implantación del Sistema de Información se asegurará de que:

• se mantiene la integridad de la información,
• la confidencialidad de la información es obligatoria,
• la disponibilidad de la información cumplirá los requerimientos de negocio,
• la información es protegida de accesos no deseados,
• se cumplen con los requisitos legales, en especial en lo relacionado con la protección de datos personales,
• se desarrollarán, mantendrán y comprobarán planes de continuidad de negocio,
• el personal será formado para ser consciente de sus funciones y obligaciones en lo que respecta a seguridad de la información,
• los incidentes de seguridad serán obligatoriamente reportados, y serán posteriormente evaluados,
• el SGSI será revisado y en concreto esta política de seguridad para mantenerla continuamente actualizada y adecuada a unas necesidades en continuo cambio.

La Dirección de 0INVADER es consciente de la importancia de desarrollar una correcta gestión de cambios, se compromete a establecer una sistemática que garantice el control de los elementos de configuración que precisen de dicho control, así como los criterios para llevarlos a cabo, con el propósito de conseguir un mayor impacto de sus servicios.

Para el cumplimiento de dicha Política de gestión de cambios, 0INVADER establece que los componentes y elementos que están bajo el control del proceso de gestión de cambios son:

• En la seguridad de la información.
• En los acuerdos de nivel de servicios.
• En infraestructuras.
• En los cambios de nuestros servicios desplegados.

0INVADER promoverá todos los Sistemas de Información y todas las políticas y aquellos procedimientos y protocolos necesarios, teniendo en cuenta la legislación vigente en temas de igualdad y no discriminación.

0INVADER revisa la política del Sistema de Información, bien anualmente, o bien ante un cambio o modificación significativa en su estructura organizativa, y se asegura que la política es apropiada.

5. Responsabilidades

Como consecuencia de los principios y requisitos anteriormente expuestos, 0Invader ha determinado las responsabilidades de todos los miembros de la organización de la siguiente manera:

• La responsabilidad de la seguridad de la información recae en todos los empleados de la organización.
• Los empleados deben cumplir con las políticas y procedimientos de seguridad de la información, así como informar sobre cualquier incidente o vulnerabilidad de seguridad que encuentren.
• La Gerencia aprobará la documentación del sistema y proporcionará los recursos de todo tipo para la implantación del sistema de gestión de seguridad de la información.

0INVADER estará legitimada en caso de comisión de alguno de los delitos o faltas tipificados por el Código Penal vigente, o en caso de observar cualesquiera conductas que a su juicio resulten contrarias a esta política, la Ley, las normas establecidas, o puedan perturbar su buen funcionamiento, imagen, credibilidad y/o prestigio, a la reclamación de los daños y perjuicios de toda naturaleza que pueda sufrir, con ocasión o como consecuencia del incumplimiento de cualquiera de las obligaciones anteriormente expuestas

6. Concienciación y Formación

0Invader proporcionará programas de concienciación y formación periódicos para asegurar que todos los empleados comprendan sus responsabilidades en relación con la seguridad de la información y estén capacitados para cumplir con ellas.

7. Cumplimiento

La organización se compromete a cumplir con todos los requisitos legales y contractuales aplicables.

8. Revisión

0Invader revisa la política de los Sistemas, bien anualmente, o bien ante un cambio o modificación significativa en su estructura organizativa, y se asegura que la política es apropiada.

Esta política ha sido aprobada por la Gerencia de 0Invader y entra en vigor a partir del mes de Enero de 2023.